SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
ISO 27001:2005 & 2013 Convertir en PDF Version imprimable Suggérer par mail
13-02-2009
La norme ISO 27001 constitue une avancée notable vers la professionnalisation de la fonction de management de la sécurité de l'information.
Introduite en 2005, l'ISO 27001 est désormais légitime auprès des RSSI et intégrée dans toutes les démarches sécurité des grands comptes.
Une révision a été publiée en septembre 2013*.
La version Française est disponible à l'AFNOR depuis décembre 2013

Elle propose un modèle répondant aux enjeux d'une gouvernance de la sécurité de l'information basée sur 4 principes clés :
  • Le pilotage par les risques : seule démarche permettant de justifier le choix des mesures de sécurité,
  • L'approche processus des processus de sécurité (voir les processus ci-dessous) : toutes les activités liées au SMSI doivent être conçues et formalisées sous forme de processus (entrées, sorties, responsabilités, étapes, contrôles nécessaires, indicateurs générés, preuves vis à vis d'un audit interne ou externe)
  • L'implication du management : C'est un programme d'entreprise et non un projet ponctuel,
  • L'amélioration continue (le modèle Plan Do Check Act ) : On a pas trouvé mieux depuis l'invention de la roue... de Deming,
Elle comporte un ensemble de processus fondateurs :

  • Le pilotage du système de management de la sécurité de l'information (SMSI) : processus transverse de management du SMSI (périmètre, organisation, rôles et responsabilités, objectifs, revues, indicateurs, preuve, audit interne et externe)
  • L'analyse des risques : lister et classifier les actifs, évaluer les enjeux, évaluer les vulnérabilités, en déduire les scénarios de risque les plus critiques,
  • La gestion et le traitement des risques : choisir les mesures de sécurité (SOA basé sur tout ou partie des 133 mesures de sécurité de l'annexe A) susceptibles de réduire les risques critiques à un niveau acceptable, évaluer les risques résiduels... basé sur ISO 27005 mais aussi et surtout sur Méhari ou Ebios,
  • Le contrôle de l'efficacité du SMSI : en établissant indicateurs, tableaux de bord, contrôles et revues régulières de management,
  • La gestion des incidents et des vulnérabilités : en mettant en place une gestion efficace des incidents de sécurité tant réactive que préventive,
  • La formation et la sensibilisation : des acteurs de la sécurité mais aussi des managers et des utilisateurs,
  • La gestion documentaire et la gestion des preuves : pas de processus sans procédures, pas de contrôle sans procédures écrites et détaillées, pas d'audit sans preuve.

* Alors quelle version adopter ?

Si vous êtes en cours de préparation et avancés sur la base d'une version 2005 : continuez sur cette base

si vous êtes au début de la préparation ou envisagez de débuter prochainement votre projet de certification, alors choisissez la version 2013.


Dernière mise à jour : ( 03-02-2014 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.